Kötü Amaçlı Yazılımların Tespit ve Analiz yöntemleri 3 ayrı alt başlık altında incelenmektedir.

Kötü Amaçlı Yazılım Tespit Yöntemleri

Tespit yöntemleri için imza tabanlı, davranış ve spesifikasyon tabanlıdır. Analiz yöntemleri ise statik, dinamik ve hibrit olarak kullanmaktadır

İmza Tabanlı Tespit Yöntemi : Kötü Amaçlı yazılımların hangi kötü amaçlı yazılım türünden olduğunun bilinmesi amacıyla genellikle md5 şifreleme yöntemiyle hash değeri alınarak oluşturulan imzasıdır. Oluşturulan imza anti virüs uygulamaları tarafından bit dizisi olarak kendi sistemlerinde depolanır. Statik, Dinamik ya da Hibrit tabanlı yaklaşımlar kullanılarak elde edilen hash değerlere göre kontroller yapılabilmektedir.

Davranış Tabanlı Tespit Yöntemi : Bir sistemin normal ve anormal davranışlarının gözlemlenerek, sistemin ayırt edici özelliklerinin belirlenmesi ve bilinmeyen zararlı yazılımın tespiti bu yöntem ile incelenmektedir. Davranış tabanlı yöntem statik, dinamik ve hibrit analiz yöntemlerini kullanarak veri toplar, ilgili veriyi yorumlar ve oluşan zararlı yazılım bileşenleri algoritma eşleştirme aşamasıyla kullanılır.

Spesifikasyon Tabanlı Tespit Yöntemi : Bu yöntem Davranış tabanlı yöntem ile birlikte ele alınmakta olup, uygulamadaki spesifikasyonlar izlenerek, normal ve anormal davranışlar makine öğrenmesi ve yapay zeka işlemlerine gerek kalmadan, statik, dinamik ve hibrit yöntemlerle oluşturulan veriler sistem üzerinde yorumlanarak incelenir.

Kötü Amaçlı Yazılım Analiz Yöntemleri

a-) Statik Analiz Yöntemi: Kötü Amaçlı yazılım çalıştırılmadan sistem üzerindeki etkisi inceleniyorsa bu yönteme statik analiz yöntemi denmektedir. Statik analizde yazılım geliştirildiği ortam, kod parçacıkları, stringlerden tersine mühendislik yöntemleri kullanılarak analizler yapılır.

b-) Dinamik Analiz Yöntemi: Kötü Amaçlı Yazılım ‘ın sistemde neden olduğu sorunları tespit etmek için, sistemle aynı ortak özelliklere benzer bir yapı kurularak zararlı yazılımın çalıştırılıp, sistem üzerindeki etkilerinin gözlenmesi yöntemine dinamik analiz yöntemi denir.

c-) Hibrit Analiz Yöntemi: Kötü Amaçlı Yazılım ‘ın hem dinamik hem de statik analiz tekniklerinin birleştirilerek, her iki yaklaşımdan faydalanılan bir yöntemdir. Bu yöntemde zararlı yazılımın imzası kontrol edilerek kod analizi yazılımlar ile gözlemlenir ve sonrasında davranışın gözlemlenmesi amacıyla zararlı yazılım sistemde çalıştırılır.